비즈니스를 위한 개인정보보호법 ‘개인정보의 기술적ㆍ관리적 보호조치 기준’(이하 ‘보호조치 기준’)은 사업자가 이용자의 개인정보를 취급함에 있어서 개인정보가 분실ㆍ도난ㆍ누출ㆍ변조ㆍ훼손 등이 되지 아니하도록 안전성 확보에 필요한 최소한의 기술적ㆍ관리적 기준을 제시하고 있다.
 
보호조치 기준을 준수해야 하는 사업자는 정보통신서비스 제공자, 정보통신서비스 제공자로부터 이용자의 개인정보를 제공받은 자, 개인정보의 취급 업무를 위탁받은 자(수탁자)이다. 다만 위의 자에 해당하더라도 개인정보를 전혀 수집ㆍ이용하지 않는다면 이 기준의 적용대상에 제외된다. 사업자가 영리목적으로 이용자의 개인정보를 수집ㆍ이용하고 있다면 보호조치 기준을 준수해야한다. 
 
보호조치 기준은 일반적인 가이드라인이나 지침과 같이 권고가 아닌 법률에 의해 반드시 준수해야 하는 의무사항을 구체화한 것이다. 따라서 보호조치 기준에 명시된 사항에 대하여 위반할 경우 법률에 따른 형사처벌이나 행정처분이 부과될 수 있다.

개인정보의 안전성 확보에 필요한 최소 기준 마련
보호조치 기준은 이용자 개인정보의 취급을 위한 구체적이고 명확한 기술적ㆍ관리적 세부 기준이 없이 개인정보를 취급하는 사업자들이 보호조치를 이행하는데 어려움이 발생함에 따라 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)’(2004.1.29) 개정 및 동법 시행규칙 개정(2004.7.30)을 통해 안전성 확보에 필요한 최소한의 기준을 정해 고시할 수 있도록 법적 근거를 마련했다.
 
보호조치 기준 제정(2005.3.24) 이후 해킹 및 내부자에 의한 개인정보 유출과 유출된 개인정보를 활용한 2차 피해 확산 등의 문제가 발생함에 따라 정보통신망법 개정(2008.6.13) 및 동법 시행령 개정(2009.1.28)을 통해 보호조치 기준도 개정(2009.8.7)하였다.
 
개정된 보호조치 기준은 제1조(목적), 제2조(정의), 제3조(내부관리계획의 수립ㆍ시행), 제4조(접근통제), 제5조(접속기록의 위ㆍ변조 방지), 제6조(개인정보의 암호화), 제7조(악성프로그램 방지), 제8조(출력ㆍ복사시 보호조치) 및 제9조(개인정보 표시 제한 보호조치)로 구성되어 있다. 제9조는 권고사항으로 벌칙이 없지만 제3조부터 제8조까지는 필수사항으로 기준을 위반하는 경우에는 형사처벌이나 행정처분이 부과된다. 제3조부터 제8조까지 세부내용은 다음과 같다.

제3조(내부관리계획의 수립ㆍ시행)는 사업자가 이용자의 개인정보를 보호하기 위한 개인정보보호 조직의 구성 및 운영에 관한 개인정보관리책임자 지정, 개인정보취급자의 역할 및 책임, 개인정보관리책임자 및 취급자 대상 교육에 관한 사항 및 보호조치 기준의 제4조에서 제8조까지의 추진 방안을 마련하여야 한다.

제4조(접근통제)는 이용자의 개인정보에 접근할 수 있는 개인정보취급자의 권한 부여 및 업무 변경에 따른 권한 변경, 권한 부여 및 변경에 대한 이력 보관(5년), 이용자의 개인정보 불법적인 접근 및 침해 방지를 위한 침입차단 및 탐지 기능 설비 운영, 개인정보취급자의 비밀번호 작성 규칙 등의 기준을 제시하고 있다.

제5조(접속기록의 위ㆍ변조방지)는 개인정보취급자가 이용자의 개인정보를 서비스 제공을 위해 접속한 기록에 대한 월 1회 이상의 확인ㆍ감독, 접속기록의 보관 기간 및 접속기록이 위ㆍ변조되지 않도록 백업하는 기준을 제시하고 있다.

제6조(개인정보의 암호화)는 이용자 및 개인정보취급자의 비밀번호 및 바이오정보에 대한 일방향 암호화, 이용자의 주민등록번호, 계좌번호, 신용카드번호의 저장 시 암호화, 개인정보 및 인증정보를 송ㆍ수신 하는 경우에 보안서버 구축을 통한 암호화, 이용자의 개인정보를 개인용 컴퓨터에 저장시 암호화에 대한 기준을 제시하고 있다.

제7조(악성프로그램 방지)는 개인정보처리시스템 및 개인정보취급자의 개인용 컴퓨터에 대한 백신소프트웨어 설치와 주기적 갱신ㆍ점검과 운영체제 또는 백신소프트웨어의 업데이트 시 정합성 고려 후 갱신ㆍ점검 등의 기준을 제시하고 있다.

제8조(출력ㆍ복사시 보호조치)는 이용자의 개인정보를 출력시(인쇄, 화면표시, 파일생성 등) 용도 명확화 및 출력항목 최소화, 출력ㆍ복사시 개인정보관리책임자의 사전승인을 통한 관리 및 이용자 개인정보를 개인정보취급자가 출력ㆍ복사물을 불법 유출시 법적 책임이 부과될 수 있다는 기준을 제시하고 있다.

제9조(개인정보 표시 제한 보호조치)는 서비스 제공을 위해 개인정보의 조회, 출력 등의 업무를 수행하는 과정에 개인정보보호를 위해 성명, 생년월일, 전화번호, 주소의 읍ㆍ면ㆍ동, 및 인터넷 주소의 마스킹 기준을 제시하고 있다.

이와 같은 이번 보호조치 기준 개정은 ‘사업장 내에서 이용자의 개인정보를 조회, 처리 등의 업무를 담당하는 개인정보취급자에 대한 연 2회 이상의 교육 의무화, 해킹 공격에 대한 개인정보처리시스템의 안전성 강화를 위해 접근통제 규칙 및 방법 상세화나 해킹 또는 유출 등 침해사고 발생 징후를 예측ㆍ대응하는데 필요한 접속기록의 관리ㆍ감독 강화, 그리고 해킹을 통해 유출된 주민등록번호, 계좌번호 등 금융정보의 불법사용을 방지하기 위해 개인정보의 암호화 강화’ 등이 중점 강화되었다.
 
보호조치 기준은 정보통신망법 시행령에 명시된 것과 같이 2009년 1월 29일부터 사업자들이 준수하고 있어야 한다. 다만 제6조 제2항의 주민등록번호, 계좌번호 및 신용카드번호는 안전한 알고리즘으로 암호화 저장하는 조치와 제6조제4항의 개인PC에 저장하는 이용자의 개인정보를 암호화 저장하는 조치에 대해서는 1월 29일까지 적용하여 준수하면 된다.
<글 : 정찬주 한국인터넷진흥원 개인정보보호기획팀 선임연구원(cjchung@kisa.or.kr)>

[월간 정보보호21c 통권 제113호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>